Miljoenen wachtwoorden van Instagram zijn bij Facebook onbeschermd opgeslagen, zo meldt Facebook donderdag op zijn blog.

In maart maakte Facebook al melding van "honderden miljoenen" Facebook- en Instagram-wachtwoorden die onbeschermd op zijn servers stonden. Sindsdien heeft Facebook nog eens "miljoenen" onbeschermde Instagram-wachtwoorden aangetroffen. Hoeveel het er precies zijn, is niet duidelijk.

Facebook gaat Instagram-gebruikers van wie het wachtwoord onbeschermd is opgeslagen daarvan op de hoogte stellen. Het bedrijf zegt na intern onderzoek geconcludeerd te hebben dat de wachtwoorden niet misbruikt zijn en dat niemand er toegang toe had terwijl dat niet had gemoeten.

Wachtwoorden van accounts worden normaal gesproken niet als platte tekst opgeslagen, maar gewijzigd in een willekeurig gegenereerde reeks tekens, een zogenoemde 'hash'. Dat gebeurt ook zodra een gebruiker inlogt op een Facebook-dienst. Komt de hash van het ingevoerde wachtwoord overeen met de hash in de systemen, dan wordt een gebruiker ingelogd.

In het geval van de onbeveiligd opgeslagen Facebook- en Instagram-wachtwoorden werden de wachtwoorden in logbestanden (een automatisch gegenereerd bestand waarin een bepaald proces wordt genoteerd) echter wel in platte tekst opgeslagen. Daarmee zou een kwaadwillende toegang kunnen krijgen tot accounts, wat met een opgeslagen hash niet het geval is.

Facebook Nederland was donderdagavond niet direct bereikbaar voor een reactie.